脆弱性修正に要する時間は年々短縮ーーGoogleのProject Zeroが調査結果を発表
米Googleのセキュリティチーム「Project Zero」が、ゼロデイ脆弱(ぜいじゃく)性の発見から修正プログラムの提供までにかかった時間をベンダーごとにまとめた報告書を公開した。Project Zeroは、ゼロデイ脆弱性の発見と、それの悪用を難しいものにすることを任務とするチームであり、独自にゼロデイ脆弱性を発見して関係ベンダーに通知し、修正を促している。
ベンダーには90日の時間を与えており、それまでに修正プログラムを提供できれば、提供後に脆弱性の情報を公開している。提供できない場合は90日経ったところで脆弱性の情報を公開しているが、ベンダーが修正プログラムを提供を確約すれば14日間の猶予期間を与えている。
今回の報告書は、以上の方針で活動を始めた2019年から2021年までの各ベンダーの成績をまとめたものだ。
| ベンダー | 脆弱性の数 | 90日の間に提供 | 猶予期間に提供 | 超過 | 提供までの平均日数 |
|---|---|---|---|---|---|
| Apple | 84 | 73(87%) | 7(8%) | 4(5%) | 69 |
| Microsoft | 80 | 61(76%) | 15(19%) | 4(5%) | 83 |
| 56 | 53(95%) | 2(4%) | 1(2%) | 44 | |
| Linux | 25 | 24(96%) | 0(0%) | 1(4%) | 25 |
| Adobe | 19 | 15(79%) | 4(21%) | 0(0%) | 65 |
| Mozilla | 10 | 9(90%) | 1(10%) | 0(0%) | 46 |
| Samsung | 10 | 8(80%) | 2(20%) | 0(0%) | 72 |
| Oracle | 7 | 3(43%) | 0(0%) | 4(57%) | 109 |
| その他 | 55 | 48(87%) | 3(5%) | 4(7%) | 44 |
| 合計 | 346 | 294(84%) | 34(10%) | 18(5%) | 61 |
| 2019年〜2021年までに見つかった脆弱性と、修正までにかかった時間をベンダーごとにまとめた表 | |||||
上記の表を見ると、全体の84%の脆弱性に通知から90日以内に修正プログラムが提供されており、残りについてもほぼ全てが猶予期間内に修正プログラムの提供が済んでいる。修正プログラム提供までの平均日数をみると、唯一Oracleだけが109日となっており、90日の期限を過ぎているが、3年間で通知された脆弱性の数が7件にとどまっていることに注意が必要だ。脆弱性の数がはるかに多い上位ベンダーと直接は比較しにくい。
脆弱性の数で上位を占めるApple(84)、Microsoft(80)、Google(56)の3社を見ると、修正プログラムの提供までの平均日数はMicrosoftが83日で最長となっており、続いてApple(69日)、Google(44日)の順になっている。
特筆すべきはLinuxだ。脆弱性の数は上位3社に続く25件だが、修正プログラムの提供までの平均日数は今回の調査で最短の25日になっている。ただし、上位3社がOSの他に多種多様なプログラムを提供しているのに対し、LinuxはOSだけを開発していること、大手ITベンダーがLinuxの開発や修正のためにこぞって人員を提供していることに留意する必要がある。
| ベンダー | 2019 | 2020 | 2021 |
|---|---|---|---|
| Apple | 61(71日) | 13(63日) | 11(64日) |
| Microsoft | 46(85日) | 18(87日) | 16(76日) |
| 26(49日) | 13(22日) | 17(53日) | |
| Linux | 12(32日) | 8(22日) | 5(15日) |
| その他 | 54(63日) | 35(54日) | 14(29日) |
| 合計 | 199(67日) | 87(54日) | 63(52日) |
| 各ベンダーの脆弱性の数を1年ごとにまとめた表。カッコ内は脆弱性の通知から修正プログラム提供までの平均日数 | |||
上位3社にLinuxを加えて1年ごとの成績を示したのが上記の表だ。この表を見ると各社の1年ごとの改善度合いが見える。各社とも脆弱性の数は2019年から2020年の間に大きく改善しており、2020年から2021年の間も小幅ながら改善している。
脆弱性通知から修正プログラムの提供までの平均日数を見ると、全体的に1年ごとに改善が進んでいることが分かる。ただし、Googleだけは2019年から2020年の間に改善しながら(49日→22日)、2020年から2021年(53日)の間に悪化している。
合計を見ると脆弱性の数は1年ごとに減少し(199日→87日→63日)、通知から修正プログラムの提供までの平均日数も短縮している(67日→54日→52日)。全体的な傾向としては良い方向に向かっていると言える。
報告書は、毎年改善が続く傾向について、各メーカーに責任ある情報開示方針が業界の標準になってきていることが理由になっているのではないかと推測している。さらに、各社がお互いに他社の良いやり方を学び合っていることも大きな理由だと見ている。
関連記事
「プロセッサ脆弱性」公表から1カ月 アップデートの不具合がさらなる混乱を招く
「Spectre」「Meltdown」と呼ばれるプロセッサの脆弱性が公になり1カ月が過ぎた。その間に情報提供や対策パッチの配布などが進んだが、アップデート自体の不具合やベンダーの対応の仕方が新たな混乱を招いている。
Microsoft、Edgeのセキュリティを固める「Super Duper Secure Mode」を最新安定版に導入
Microsoftが、テストを続けていた同社のWebブラウザ「Microsoft Edge」の「Super Duper Secure Mode」を最新の安定版に導入した。
macOS Big Surが11.4にアップデート 多数の脆弱性と不具合が修正
米Appleは、macOSの最新版「macOS Big Sur 11.4」を公開した。
日本マイクロソフト、2022年のセキュリティ更新プログラム公開スケジュールを明らかに
日本マイクロソフトが、2022年のセキュリティ更新プログラムを公開する予定日を明らかにした。
米Microsoft、Windowsアップデート情報集約ページ「Windows release health」を10カ国語対応に
米Microsoftは、Windowsのトラブルなどを集約した情報ページ「Windows release health」を10カ国語に対応したと発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アクセストップ10
- ワコムが有機ELペンタブレットをついに投入! 「Wacom Movink 13」は約420gの軽量モデルだ (2024年04月24日)
- わずか237gとスマホ並みに軽いモバイルディスプレイ! ユニークの10.5型「UQ-PM10FHDNT-GL」を試す (2024年04月25日)
- 「社長室と役員室はなくしました」 価値共創領域に挑戦する日本IBM 山口社長のこだわり (2024年04月24日)
- 「Surface Go」が“タフブック”みたいになる耐衝撃ケース サンワサプライから登場 (2024年04月24日)
- QualcommがPC向けSoC「Snapdragon X Plus」を発表 CPUコアを削減しつつも圧倒的なAI処理性能は維持 搭載PCは2024年中盤に登場予定 (2024年04月25日)
- 16.3型の折りたたみノートPC「Thinkpad X1 Fold」は“大画面タブレット”として大きな価値あり (2024年04月24日)
- アドバンテック、第14世代Coreプロセッサを採用した産業向けシングルボードPC (2024年04月24日)
- あなたのPCのWindows 10/11の「ライセンス」はどうなっている? 調べる方法をチェック! (2023年10月20日)
- AI PC時代の製品選び 展示会「第33回 Japan IT Week 春」で目にしたもの AI活用やDX化を推進したい企業は要注目! (2024年04月25日)
- ロジクール、“プロ仕様”をうたった60%レイアウト採用ワイヤレスゲーミングキーボード (2024年04月24日)
過去記事カレンダー
Feed Back
ITmediaはアイティメディア株式会社の登録商標です。